Windows安全
拜乔布斯
文章中提到的工具或者样本可以到我的资源页面查看。
展开
-
通过注册表查看Windows系统进程启动顺序
按下计算机电源按钮,代码先从BIOS执行,具体如下:BIOS—>MBR—>活动分区—>Ntoskrnl.exe、HAL—>服务类型为0、1的服务—>会话管理器(smss.exe进程)1、BIOS:这里面的代码是由其厂商提供,主要是开机时检测计算机硬件。多数bios厂商和Absolute公司达成协议在bios代码中放置了Absolute公司的防盗追踪软件,国...原创 2020-01-18 20:42:35 · 2090 阅读 · 0 评论 -
逆向CVE-2017-0199漏洞样本
遇到gamaredon组织攻击乌克兰的word样本,VT杀软大部分报CVE-2017-0199,也有说是word远程模板,非CVE-2017-0199漏洞,现在好奇到底是word远程模板还是CVE-2017-0199漏洞利用先看gamaredon样本的行为,md5:b221647d110bd2be2c6e9c5d727ca8db是一个word文档,word.exe请求了http://micro...原创 2019-12-13 16:56:46 · 838 阅读 · 0 评论 -
用户权限控制UAC
UAC:就是一个软件要运行时,Windows操作系统会很明显的提示用户,这个软件运行起来可能会有不好的后果(当然也可能是用户预期的结果,其实是Windows操作系统不能预测这个软件运行后的行为),Windows操作系统就把这个“皮球”扔给了用户(出了问题是你用户的,与操作系统无关),就连Windows自带的应用程序(绝大部分,比如注册表编辑器regedit.exe)也要遵守UAC。UAC设置:...原创 2019-11-03 18:40:00 · 5342 阅读 · 0 评论 -
Windows管理员权限思考
进程以管理员权限和非管理员权限运行有很大的特权差别,具体怎么检查当前进程是否以管理员权限运行,代码如下:#include <stdio.h>#include <Windows.h>#include <Sddl.h>int main(){ BOOL IsMember; PSID l_pSid=NULL; SID_IDENTIFIER_AUTH...原创 2019-06-23 18:17:09 · 2292 阅读 · 0 评论